Richten Sie Servicerollen ein für AWS Clean Rooms - AWS Clean Rooms
Erstellen Sie einen AdministratorbenutzerErstellen Sie eine IAM-Rolle für ein KollaborationsmitgliedErstellen Sie eine Servicerolle zum Lesen von DatenErstellen Sie eine Servicerolle, um Ergebnisse zu erhalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Servicerollen ein für AWS Clean Rooms

Erstellen Sie einen Administratorbenutzer

Zur Verwendung AWS Clean Rooms müssen Sie einen Administratorbenutzer für sich selbst erstellen und den Administratorbenutzer zu einer Administratorgruppe hinzufügen.

Wählen Sie zum Erstellen eines Administratorbenutzers eine der folgenden Optionen aus.

Wählen Sie eine Möglichkeit zur Verwaltung Ihres Administrators aus. Bis Von Sie können auch
Im IAM Identity Center

(Empfohlen)

 Verwendung von kurzfristigen Anmeldeinformationen für den Zugriff auf AWS.

Dies steht im Einklang mit den bewährten Methoden für die Sicherheit. Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

 Beachtung der Anweisungen unter Erste Schritte im AWS IAM Identity Center -Benutzerhandbuch. Konfigurieren Sie den programmatischen Zugriff, indem Sie AWS CLI die Konfiguration für die Verwendung AWS IAM Identity Center im AWS Command Line Interface Benutzerhandbuch vornehmen.
In IAM

(Nicht empfohlen)

 Verwendung von langfristigen Anmeldeinformationen für den Zugriff auf AWS. Beachtung der Anweisungen unter Erstellen Ihres ersten IAM-Administratorbenutzers und Ihrer ersten Benutzergruppe im IAM-Benutzerhandbuch. Programmgesteuerten Zugriff unter Verwendung der Informationen unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im IAM-Benutzerhandbuch konfigurieren.

Erstellen Sie eine IAM-Rolle für ein Kollaborationsmitglied

Ein Mitglied ist ein AWS Kunde, der an einer Kollaboration teilnimmt.

Um eine IAM-Rolle für ein Kollaborationsmitglied zu erstellen

  1. Folgen Sie dem Verfahren Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.

  2. Wählen Sie für den Schritt Richtlinie erstellen im Richtlinien-Editor die Registerkarte JSON aus und fügen Sie dann je nach den Fähigkeiten, die dem Kollaborationsmitglied gewährt wurden, Richtlinien hinzu.

    AWS Clean Rooms bietet die folgenden verwalteten Richtlinien auf der Grundlage gängiger Anwendungsfälle:

    Wenn Sie … Dann benutze...
    Sehen Sie sich die Ressourcen und Metadaten an AWS verwaltete Richtlinie: AWSCleanRoomsReadOnlyAccess
    Abfrage AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess
    Ergebnisse abfragen und empfangen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess
    Ressourcen für die Zusammenarbeit verwalten, aber keine Abfragen durchführen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccessNoQuerying

    Informationen zu den verschiedenen verwalteten Richtlinien, die von angeboten werden AWS Clean Rooms, finden Sie unter AWS verwaltete Richtlinien für AWS Clean Rooms

Erstellen Sie eine Servicerolle zum Lesen von Daten

AWS Clean Rooms verwendet eine Servicerolle, um die Daten zu lesen.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:

Wenn... Dann
Sie verfügen über die erforderlichen IAM-Berechtigungen, um eine Servicerolle zu erstellen Verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

Sie haben keineiam:CreateRole, iam:CreatePolicy und iam:AttachRolePolicy Berechtigungen

or

Sie möchten die IAM-Rollen manuell erstellen

 Führen Sie eine der folgenden Aktionen aus:

  • Gehen Sie wie folgt vor, um eine Servicerolle zu erstellen.

  • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.
Um eine Servicerolle zum Lesen von Daten zu erstellen
Anmerkung

Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen zum Erstellen einer Servicerolle mithilfe der AWS Clean Rooms Konsole verfügen.

  1. Folgen Sie dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Wenn Sie sicherstellen möchten, dass die Rolle nur im Rahmen einer bestimmten Kollaborationsmitgliedschaft verwendet werden kann, können Sie die Vertrauensrichtlinie weiter einschränken. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

    { 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Wenn Sie beispielsweise einen benutzerdefinierten KMS-Schlüssel für Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie möglicherweise mit zusätzlichen AWS KMS Berechtigungen ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.

    { 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Ersetzen Sie jeden Platzhalter durch Ihre eigenen Informationen.

  5. Folgen Sie weiterhin dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.

Erstellen Sie eine Servicerolle, um Ergebnisse zu erhalten

Anmerkung

Wenn Sie das Mitglied sind, das nur Ergebnisse erhalten kann (in der Konsole ist Ihre Mitgliederfähigkeit nur Ergebnisse erhalten aktiviert), gehen Sie wie folgt vor.

Wenn Sie ein Mitglied sind, das Ergebnisse sowohl abfragen als auch empfangen kann (in der Konsole ist Ihre Fähigkeit als Mitglied sowohl Ergebnisse abfragen als auch Ergebnisse erhalten), können Sie dieses Verfahren überspringen.

AWS Clean Rooms Verwendet für Kollaborationsmitglieder, die nur Ergebnisse erhalten können, eine Servicerolle, um Ergebnisse der abgefragten Daten in der Kollaboration in den angegebenen Amazon S3 S3-Bucket zu schreiben.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:

Wenn... Dann
Sie verfügen über die erforderlichen IAM-Berechtigungen, um eine Servicerolle zu erstellen Verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

Sie haben keineiam:CreateRole, iam:CreatePolicy und iam:AttachRolePolicy Berechtigungen

or

Sie möchten die IAM-Rollen manuell erstellen

 Führen Sie eine der folgenden Aktionen aus:

  • Gehen Sie wie folgt vor, um eine Servicerolle zu erstellen.

  • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.
Um eine Servicerolle zu erstellen, um Ergebnisse zu erhalten
Anmerkung

Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.

  1. Folgen Sie dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Ersetzen Sie jeden Platzhalter durch Ihre eigenen Informationen:

    • Region — Der Name der AWS-Region. z. B. us-east-1.

    • a1B2C3D4-5678-90AB-CDEF-exampleAAAAA — Die Mitglieds-ID des Mitglieds, das Abfragen durchführen kann. Die Mitglieds-ID finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt.

    • arn:aws:cleanrooms:us-east- 1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-exampleAAAAA — Der einzige Mitgliedschafts-ARN des Mitglieds, das Abfragen durchführen kann. Den Mitglieds-ARN finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt.

    • bucket_name — Der Amazon-Ressourcenname (ARN) des S3-Buckets. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.

    • accountId — Die AWS-Konto ID, in der sich der S3-Bucket befindet.

      bucket_name/optional_key_prefix — Der Amazon-Ressourcenname (ARN) des Ergebnisziels in S3. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.

  5. Folgen Sie weiterhin dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.